超详细,工业路由器与Juniper Netscreen防火墙构建IPsecVPN指南
一、网络拓扑
orc305工业4g路由器使用sim卡拨号上网,获得运营商分配的动态私网ip地址。右侧为企业数据中心部署juniper netscreen firewall防火墙,通过企业专线接入了互联网,并且使用静态公网ip,防火墙wan接口(unturst接口)接入互联网,lan(trust接口为企业内网)。lte 4g无线路由器与juniper netscreen firewall防火墙建立ipsec vpn,使得企业的lan可以访问orc305工业无线路由器的lan口设备。
二、juniper netscreen firewall配置指导
1.netscreen配置,如图所示:
在netscreen系列防火墙端口的初始配置下(这里以ssg5系列为例),bgroup0在trust区域并关联上了ethernet0/2-6,bgroup1-3在null区域。ethernet0/0口在untrust区域。ethernet0/1在dmz区域,serial0/0工作在null区域,vlan1工作在null区域。在对wan口进行配置之前可以对接口做一个规划。在这我们把ethernet0/0做为wan口放在untrust区域。把ethernet0/1也放入到bgoup0中去做为lan口。
webui network>interfaces(list)
webui zone name:null(只有在null区域的接口才能被关联到bgroup中)
webui network>interfaces(list)f
webui network>interfaces>edit>bind port bind to current bgroup ethernet0/2:(勾选)ethernet0/3:(勾选)ethernet0/4:(勾选)ethernet0/5:(勾选)ethernet0/6:(勾选)现在e0/1-6就都成为了lan端口了1.1配置wan端口1.1.1静态ip地址模式下图中ethernet0/0的ip为172.0.0.254/24为设备的出厂默认值。若运用商为该线路分配了ip为125.69.128.0/24的地址,则需要根据将wan接口的地址修改为此ip地址。
webui network>interfaces(list)
webui network>interfaces>edit static ip ip address/netmask:125.69.128.108/24(中心端的固定ip地址)1.1.2 pppoe模式
webui network>interfaces(list)
zone name:untrust obtain ip using pppoe:create new pppoe setting
webui network>pppoe>edit enable:(勾选)bound to interface:ethernet0/0 username:(填写pppoe的账号)password:(填写pppoe的密码)authentication:any(包含了chap pap两种认证方式)现在ethernet0/0就已经设置成为了pppoe的wan端拨号口。检查pppoe状态
配置好后在webui network>pppoe(list)可以看到state栏会变成connected状态
回到webui network>interfaces(list)如图所示在ethernet0/0的pppoe栏会看到一个绿色的表示拨号已经成功。并且ip/network栏会看到pppoe分配的ip地址和掩码。如果看到是一个红色的表示拨号没成功,如果点击一下系统会重启拨号过程,如果还是失败就检查是否线路或者配置有错误。1.1.3 dhcp动态地址模式
webui network>interfaces(list)
webui network>interfaces>edit obtain ip using dhcp:选取点击ok之后30秒以内就可以获取到ip地址。
2.lan端口配置,如图所示:
webui network>interfaces(list)>edit
properties:basic zone name:trust static ip:ip address/netmask 172.0.0.1/24 manageable(勾选)interface mode:nat这里需要注意一个问题,在吧bgroup0的地址从192.168.1.1/24配置到实际需要的地址(172.0.0.1/24)之后。由于dhcp中关于该接口的地址池配置不会自动创建,所以会导致不能通过web界面继续对ssg5进行配置。需要给自己的主机手工设置一个地址。如172.0.0.33/24。再在web界面登录172.0.0.1就可以继续对ssg5进行配置了。
webui network>dhcp(list)
webui network>dhcp(list)
webui network>dhcp>dhcp server address edit dynamic:ip address start:172.0.0.2(网段中的起始地址)ip address end:172.0.0.254(网段中的结束地址)现在取消掉手动配置的ip地址以后就可以通过dhcp自动获得ip地址了。
tunnel接口配置,如图所示:
webui network>interfaces(list)>new
webui unnumbered:选择interface:ethernet0/0(trust-vr)创建一个tunnel接口并将改接口关联到wan口上。以备ipsec发送数据时使用。1.4配置策略在系统默认的情况下我们有一条重trust区域所有条目到untrust区域的所有条目的策略。而在vpn的环境中我们必须要做到无论哪个区域优先发起的流量都能通信,所以需要在untrust到trust的区域添加一条策略。
webui policy>policy elements>addresses>list
webui policy>policy elements>addresses>configuration address name:远端1lan(为远端1的列表配置一个名称)ip address/netmask(wildcard mask):192.168.2.0/24(对端1lan的地址)zone:untrust(远端1的流量从tunnel口进来属于untrust区域)
webui policy>policy elements>addresses>list
policy>policy elements>addresses>configuration address name:本地lan(给本地lan的条目配置一个名称)ip address/netmask(wildcard mask):172.0.0.0/24(本地lan的地址和掩码)zone:trust(本地lan应该属于trust区域)
webui policy>policies(from untrust to trust)from:untrust(选取)to:trust(选取)
webui policy>policies(from untrust to trust)source address:address book enty:远端1lan(之前为远端1条目创建的列表,因为是从untrust到trust所以这里为源)destination address:address book enty:本地lan(本地lan列表名)点击ok一条从untrust到trust的策略就配置好了。使得双方的lan端可以顺利通信。
三、orc305路由器端配置指导
1.将sim卡插入路由器卡槽
2.给设备上电,登入路由器web页面(默认为192.168.2.1)
3.进入网络→接口→连链路备份界面启用对应sim卡并上调链路优先级,保存配置
4.对应sim卡拨号成功,当前链路变为绿色
5.进入网络→vpn→ipsec界面进行路由器(ipsec vpn客户端)配置
保存并应用配置后即可进入状态→vpn页面看到ipsec vpn状态为已连接
英特尔利用人工智能辅助宫颈癌治疗
安规电容器有极性吗
2017这三款旗舰手机值得等待,个个都是精品
土壤肥料养分测定仪的用途是什么
小米发布全球首款量产OLED自发光屏幕透明电视
超详细,工业路由器与Juniper Netscreen防火墙构建IPsecVPN指南
氧气传感器TO2-1X在晶圆低氧存储监测中的应用分析
堆叠式高速DDR4和DDR5内存适用于恶劣的战斗环境
基于BCH主链智能合约发币系统正式发布了首款稳定币USDH
三星显示器M8功能全面、设计时尚,让居家工作生活更惬意
AC/DC转换厂商:南京通华芯微电子有限公司简介
小米神话被华为OV联手打败,只因为雷军常做这三件事
超强山寨机:四卡四待+双存储卡槽
红米note4x对比小米5c 澎湃S1和高通骁龙 谁更值得买
中美贸易摩擦将影响着我国未来几年家电出口的风险
重大装备制造模式优化,金属3D打印再制造技术
先进封装对比传统封装的优势及封装方式
声卡综述(下)
小米note3最新消息:小米note3遇冷,雷军扬言:降价,支持现货购买
什么是车载摄像头?车载摄像头与雷达技术对比有哪些优势
orc305工业4g路由器使用sim卡拨号上网,获得运营商分配的动态私网ip地址。右侧为企业数据中心部署juniper netscreen firewall防火墙,通过企业专线接入了互联网,并且使用静态公网ip,防火墙wan接口(unturst接口)接入互联网,lan(trust接口为企业内网)。lte 4g无线路由器与juniper netscreen firewall防火墙建立ipsec vpn,使得企业的lan可以访问orc305工业无线路由器的lan口设备。
二、juniper netscreen firewall配置指导
1.netscreen配置,如图所示:
在netscreen系列防火墙端口的初始配置下(这里以ssg5系列为例),bgroup0在trust区域并关联上了ethernet0/2-6,bgroup1-3在null区域。ethernet0/0口在untrust区域。ethernet0/1在dmz区域,serial0/0工作在null区域,vlan1工作在null区域。在对wan口进行配置之前可以对接口做一个规划。在这我们把ethernet0/0做为wan口放在untrust区域。把ethernet0/1也放入到bgoup0中去做为lan口。
webui network>interfaces(list)
webui zone name:null(只有在null区域的接口才能被关联到bgroup中)
webui network>interfaces(list)f
webui network>interfaces>edit>bind port bind to current bgroup ethernet0/2:(勾选)ethernet0/3:(勾选)ethernet0/4:(勾选)ethernet0/5:(勾选)ethernet0/6:(勾选)现在e0/1-6就都成为了lan端口了1.1配置wan端口1.1.1静态ip地址模式下图中ethernet0/0的ip为172.0.0.254/24为设备的出厂默认值。若运用商为该线路分配了ip为125.69.128.0/24的地址,则需要根据将wan接口的地址修改为此ip地址。
webui network>interfaces(list)
webui network>interfaces>edit static ip ip address/netmask:125.69.128.108/24(中心端的固定ip地址)1.1.2 pppoe模式
webui network>interfaces(list)
zone name:untrust obtain ip using pppoe:create new pppoe setting
webui network>pppoe>edit enable:(勾选)bound to interface:ethernet0/0 username:(填写pppoe的账号)password:(填写pppoe的密码)authentication:any(包含了chap pap两种认证方式)现在ethernet0/0就已经设置成为了pppoe的wan端拨号口。检查pppoe状态
配置好后在webui network>pppoe(list)可以看到state栏会变成connected状态
回到webui network>interfaces(list)如图所示在ethernet0/0的pppoe栏会看到一个绿色的表示拨号已经成功。并且ip/network栏会看到pppoe分配的ip地址和掩码。如果看到是一个红色的表示拨号没成功,如果点击一下系统会重启拨号过程,如果还是失败就检查是否线路或者配置有错误。1.1.3 dhcp动态地址模式
webui network>interfaces(list)
webui network>interfaces>edit obtain ip using dhcp:选取点击ok之后30秒以内就可以获取到ip地址。
2.lan端口配置,如图所示:
webui network>interfaces(list)>edit
properties:basic zone name:trust static ip:ip address/netmask 172.0.0.1/24 manageable(勾选)interface mode:nat这里需要注意一个问题,在吧bgroup0的地址从192.168.1.1/24配置到实际需要的地址(172.0.0.1/24)之后。由于dhcp中关于该接口的地址池配置不会自动创建,所以会导致不能通过web界面继续对ssg5进行配置。需要给自己的主机手工设置一个地址。如172.0.0.33/24。再在web界面登录172.0.0.1就可以继续对ssg5进行配置了。
webui network>dhcp(list)
webui network>dhcp(list)
webui network>dhcp>dhcp server address edit dynamic:ip address start:172.0.0.2(网段中的起始地址)ip address end:172.0.0.254(网段中的结束地址)现在取消掉手动配置的ip地址以后就可以通过dhcp自动获得ip地址了。
tunnel接口配置,如图所示:
webui network>interfaces(list)>new
webui unnumbered:选择interface:ethernet0/0(trust-vr)创建一个tunnel接口并将改接口关联到wan口上。以备ipsec发送数据时使用。1.4配置策略在系统默认的情况下我们有一条重trust区域所有条目到untrust区域的所有条目的策略。而在vpn的环境中我们必须要做到无论哪个区域优先发起的流量都能通信,所以需要在untrust到trust的区域添加一条策略。
webui policy>policy elements>addresses>list
webui policy>policy elements>addresses>configuration address name:远端1lan(为远端1的列表配置一个名称)ip address/netmask(wildcard mask):192.168.2.0/24(对端1lan的地址)zone:untrust(远端1的流量从tunnel口进来属于untrust区域)
webui policy>policy elements>addresses>list
policy>policy elements>addresses>configuration address name:本地lan(给本地lan的条目配置一个名称)ip address/netmask(wildcard mask):172.0.0.0/24(本地lan的地址和掩码)zone:trust(本地lan应该属于trust区域)
webui policy>policies(from untrust to trust)from:untrust(选取)to:trust(选取)
webui policy>policies(from untrust to trust)source address:address book enty:远端1lan(之前为远端1条目创建的列表,因为是从untrust到trust所以这里为源)destination address:address book enty:本地lan(本地lan列表名)点击ok一条从untrust到trust的策略就配置好了。使得双方的lan端可以顺利通信。
三、orc305路由器端配置指导
1.将sim卡插入路由器卡槽
2.给设备上电,登入路由器web页面(默认为192.168.2.1)
3.进入网络→接口→连链路备份界面启用对应sim卡并上调链路优先级,保存配置
4.对应sim卡拨号成功,当前链路变为绿色
5.进入网络→vpn→ipsec界面进行路由器(ipsec vpn客户端)配置
保存并应用配置后即可进入状态→vpn页面看到ipsec vpn状态为已连接
英特尔利用人工智能辅助宫颈癌治疗
安规电容器有极性吗
2017这三款旗舰手机值得等待,个个都是精品
土壤肥料养分测定仪的用途是什么
小米发布全球首款量产OLED自发光屏幕透明电视
超详细,工业路由器与Juniper Netscreen防火墙构建IPsecVPN指南
氧气传感器TO2-1X在晶圆低氧存储监测中的应用分析
堆叠式高速DDR4和DDR5内存适用于恶劣的战斗环境
基于BCH主链智能合约发币系统正式发布了首款稳定币USDH
三星显示器M8功能全面、设计时尚,让居家工作生活更惬意
AC/DC转换厂商:南京通华芯微电子有限公司简介
小米神话被华为OV联手打败,只因为雷军常做这三件事
超强山寨机:四卡四待+双存储卡槽
红米note4x对比小米5c 澎湃S1和高通骁龙 谁更值得买
中美贸易摩擦将影响着我国未来几年家电出口的风险
重大装备制造模式优化,金属3D打印再制造技术
先进封装对比传统封装的优势及封装方式
声卡综述(下)
小米note3最新消息:小米note3遇冷,雷军扬言:降价,支持现货购买
什么是车载摄像头?车载摄像头与雷达技术对比有哪些优势